Любишь цифровизацию – люби и контрразведку

Современные технологии приносят не только новые возможности, но и новые риски, в том числе и тех, о которых изначально никто особенно не задумывался. Так, цифровизация строительной отрасли неизбежно создаёт новые уязвимости в работе компаний. Базы данных могут быть уничтожены, зашифрованы в обмен на требования выкупа либо просто украдены. И людей, которые обладают для этого желанием и возможностями, предостаточно.

В июле сего года лаборатория Касперского сообщила о новой волне атак, где злоумышленники рассылали вредоносные файлы под видом документов с целью сбора конфиденциальной информации с компьютеров различных компаний. Аналитики компании описывали деятельность преступной группировки, называющей себя «Librarian Ghouls», что можно перевести примерно как «библиотекари-гули», причём под гулями понимаются не воркующие птички, а злобные духи из арабской мифологии. В последнее время цифровая нечисть существенно изменила свои методы.

А именно, хакеры сосредоточились на других форматах данных. Раньше в зоне риска была преимущественно офисная информация – документы для «Ворд» и «Эксель» со встроенными скриптами, письма со ссылками, по которым мог перейти невнимательный сотрудник, аналогичные сообщения в Телеграме. Однако теперь злоумышленники рассылают вредоносные файлы с расширением .SCR, скрывающиеся под именем документа, имитирующего отчёт по БПЛА. Также хакеры взялись за файлы, связанные с программами для моделирования и разработки промышленных систем.

Методы атаки остаются теми же: вредоносные файлы по-прежнему распространяются в виде архивов RAR с поддельными документами в формате .SCR. Если жертва открывает такой файл, скрипт загружает на компьютер дополнительные вредоносные компоненты, собирает интересующие данные и отправляет их на сервер злоумышленников. В августе и начале сентября наблюдается использование новых названий файлов, таких как «Исх_09_04_2024_№6_3223_Организациям_по_списку_Визуализация_ЭП.scr» и «Проект ТТТ 27.08.2024-2.scr».

При этом хакеры демонстрируют отличное знание внутренней кухни компаний, нормативной отраслевой базы и психологии сотрудников. Письма составляются так, чтобы вызвать минимум подозрений у жертв атаки и, напротив, сделать сообщения максимально интересными. Например, в августе и начале сентября использовались такие темы, как «О ведении Каталога Российской ЭКБ (6-3223 от 30.08.2024)» и «Срочный запрос КП от Военмеха». Эти заголовки помогают злоумышленникам увеличить вероятность того, что их письма будут открыты.

В зоне риска оказался широкий спектр инженерного софта. Теперь в список файлов, собираемых для отправки, было добавлено несколько расширений, характерных для узкоспециализированного ПО:

.SLDPRT – файлы системы автоматизированного проектирования SolidWorks, используемой для промышленного дизайна, в частности для 2D- и 3D-моделирования деталей и сборок;

.cdw – формат системы САПР российской КОМПАС-3D, также используемый для моделирования деталей и узлов;

.m3d – универсальный формат, применяемый различными программами для создания трехмерных моделей объектов;

.dwg – формат файла, используемый для хранения двухмерных и трехмерных проектных данных и метаданных. В частности, используется такими программными комплексами САПР, как AutoCAD, CorelCAD и другими.

Кроме того, теперь хакеры также похищают и документы в формате *.pdf.

Целевая аудитория атак была расширена и теперь включает предприятия, занимающиеся проектированием и разработкой в различных отраслях, прежде всего, связанных с военно-промышленным комплексом и стратегическими отраслями российской экономики. В зоне риска оказались научно-исследовательские институты, компании ракетно-космической и авиационной отраслей, а также предприятия, работающие в области газопереработки, нефтехимии и обороны. Особое внимание уделяется производителям оборудования, систем связи и радиолокации, автокомпонентов, АСУ ТП и полупроводниковых приборов.

Очевидно, что большинство преступных хакерских группировок являются сателлитами западных спецслужб, используя предоставляемый хозяевами специализированный софт и разведывательную информацию. Угроза эта крайне серьёзная и требует самого пристального внимания как со стороны федеральных ведомств, так и со стороны отделов безопасности самих компаний.

При полном и/или частичном копировании данного материала, для последующего размещения его на стороннем ресурсе, обратная, индексируемая ссылка на источник обязательна!